Fecha: Descripcin: Nombre:

Configuracin de vlans

Prctica Introduccin
Un mecanismo de aislar redes mejorando con ello el rendimiento y la seguridad es la creacin de vlans. Aunque puede ser un concepto algo avanzado, creemos que es interesante incluir al menos el conocimiento de los alumnos sobre esta facilidad, complementando con una configuracin bsica del mismo.

Actividad
Una V A! "acrnimo de Virtual A!, #red de rea local virtual$% es un m&todo de crear redes lgicamente independientes dentro de una misma red f'sica. Varias V A!s pueden coe(istir en un )nico conmutador f'sico o en una )nica red f'sica. *on )tiles para reducir el tama+o del ,ominio de difusin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local "como departamentos de una empresa% que no deber'an intercambiar datos usando la red local "aunque podr'an -acerlo a trav&s de un enrutador o un s.itc- capa / y 0%. as ventajas que nos pueden aportar las V A!s son entre otras1 2 3roporcionan una segmentacin de la red fle(ible "escalabilidad%. 2 4s muy fcil cambiar y mover dispositivos en la red "mejor gestin de recursos% 2 5acilidad de encontrar y aislar aver'as 2 3roporcionan seguridad e(tra "los dispositivos slo pueden comunicarse directamente con otros dispositivos que estn en la misma V A!% 2 Control de trfico de broadcast 2 *eparacin de protocolos Una 6V A!6 consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados f'sicamente a diferentes segmentos de una red de rea local. os administradores de red configuran las V A!s mediante soft.are en lugar de -ard.are, lo que las -ace e(tremadamente fle(ibles. Una de las mayores ventajas de las V A!s surge cuando se traslada f'sicamente alg)n ordenador a otra ubicacin1 puede permanecer en la misma V A! sin necesidad de cambiar la configuracin 73 de la mquina.

Protocolos y diseo
os primeros dise+adores de redes enfrentaron el problema del tama+o de los dominios de colision "8ubs% esto se logr controlar a trav&s de la introduccin de los conmutadores pero a su vez se introdujo el problema del aumento del tama+o de los dominios de difusin y una de las formas ms eficientes para manejarlo fue la introduccin de las V A!s. as V A!s tambi&n pueden servir

Fecha: Descripcin: Nombre:

Configuracin de vlans

para restringir el acceso a recursos de red con independencia de la topolog'a f'sica de &sta, si bien la robustez de este m&todo es discutible al ser el salto de V A! "V A! -opping% un m&todo com)n de evitar tales medidas de seguridad. as V A!s funcionan en el nivel 9 "enlace de datos% del modelo :*7. *in embargo, los administradores suelen configurar las V A!s como correspondencia directa de una red o subred 73, lo que les da apariencia de funcionar en el nivel / "red%. 4n el conte(to de las V A!s, el t&rmino trun; "#troncal$% designa una cone(in de red que transporta m)ltiples V A!s identificadas por etiquetas "o tags% insertadas en sus paquetes. ,ic-os trun;s deben operar entre tagged ports "#puertos etiquetados$% de dispositivos con soporte de V A!s, por lo que a menudo son enlaces conmutador a conmutador o conmutador a enrutador ms que enlaces a nodos. "3ara mayor confusin, el t&rmino trun; tambi&n se usa para lo que Cisco denomina <canales=> v&ase agregado de enlaces%. Un enrutador "conmutador de nivel /% funciona como columna vertebral para el trfico de red transmitido entre diferentes V A!s. 4n los dispositivos Cisco, V?3 "V A! ?run;ing 3rotocol% permite definir dominios de V A!, lo que facilita las tareas administrativas. V?3 "Cisco% tambi&n permite <podar=, lo que significa dirigir trfico V A! espec'fico slo a los conmutadores que tienen puertos en la V A! destino.

Ejemplo de definicin de VLAN

7maginemos que en nuestra empresa tenemos una A! corporativa con un rango de direcciones 73 tipo @A9.@B.@.CCC. *e da el caso de que tenemos asignadas las casi 9DD direcciones que como m(imo nos permite el mismo y adems notamos cierta saturacin en la red. Una fcil solucin a este problema ser'a crear unas cuantas V A! por medio de un s.itc- o conmutador de nivel /. 3odemos asignar una V A! a cada departamento de la empresa, as' tambi&n controlamos que cada uno sea independiente "o no% del resto1 V A!@1 Contabilidad. ,irecciones @A9.@B.9.CCC V A!91 Compras. ,irecciones @A9.@B./.CCC V A!/1 ,istribucin. ,irecciones @A9.@B.0.CCC etc. ,e esta forma liberamos direcciones de nuestra red origen @A9.@B.@.CCC pasndolas a las distintas V A! que -emos creado. Eracias al s.itc- de nivel / podremos gestionar la visibilidad entre las distintas V A! y notaremos una

Fecha: Descripcin: Nombre:

Configuracin de vlans

mejora en el rendimiento de la red ya que las difusiones o broadcast de cada V A! slo llegarn a los equipos conectados a la misma.

Gestin de la pertenencia a una VLAN

as dos apro(imaciones ms -abituales para la asignacin de miembros de una V A! son las siguientes1 V A!es estticas y V A!es dinmicas as V A!es estticas tambi&n se denominan V A!es basadas en el puerto. as asignaciones en una V A! esttica se crean mediante la asignacin de los puertos de un s.itc- o conmutador a dic-a V A!. Cuando un dispositivo entra en la red, automticamente asume su pertenencia a la V A! a la que -a sido asignado el puerto. *i el usuario cambia de puerto de entrada y necesita acceder a la misma V A!, el administrador de la red debe cambiar manualmente la asignacin a la V A! del nuevo puerto de cone(in en el s.itc-. 4n las V A!es dinmicas, la asignacin se realiza mediante paquetes de soft.are tales como el CiscoFor;s 9GGG. Con el VH3* "acrnimo en ingl&s de V A! 3olicy *erver o *ervidor de ,irectivas de la V A!%, el administrador de la red puede asignar los puertos que pertenecen a una V A! de manera automtica basndose en informacin tal como la direccin HAC del dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo. 4n este procedimiento, el dispositivo que accede a la red, -ace una consulta a la base de datos de miembros de la V A!. *e puede consultar el soft.are 5ree!AC para ver un ejemplo de implementacin de un servidor VH3*.

VLAN basadas en el puerto de conexin

Con las V A!es con pertenencia basada en el puerto de cone(in del s.itc-, el puerto asignado a la V A! es independiente del usuario o dispositivo conectado en el puerto. 4sto significa que todos los usuarios que se conectan al puerto sern miembros de la misma V A!. 8abitualmente es el administrador de la red el que realiza las asignaciones a la V A!. ,espu&s de que un puerto -a sido asignado a una V A!, a trav&s de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra V A! sin la intervencin de alg)n dispositivo de capa /. 4l dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la e(istencia de la V A! a la que pertenece dic-o puerto. 4l dispositivo simplemente sabe que es miembro de una subIred y que puede ser capaz de -ablar con otros miembros de la subIred simplemente enviando informacin al segmento cableado. 4l s.itc- es responsable de identificar que la informacin viene de una V A! determinada y de asegurarse de que esa informacin llega a todos los dems miembros de la V A!. 4l s.itc- tambi&n se asegura de que el resto de puertos que no estn en dic-a V A! no reciben dic-a informacin.

Fecha: Descripcin: Nombre:

Configuracin de vlans

4ste planteamiento es sencillo, rpido y fcil de administrar, dado que no -ay complejas tablas en las que mirar para configurar la segmentacin de la V A!. *i la asociacin de puertoIaIV A! se -ace con un A*7C "acrnimo en ingl&s de ApplicationI*pecific 7ntegrated Circuit o Circuito integrado para una aplicacin espec'fica%, el rendimiento es muy bueno. Un A*7C permite el mapeo de puertoIaIV A! sea -ec-o a nivel -ard.are.

Prctica
4n la prctica lo que se -ar es contando con / s.itc-es y con varios pc$s, intentar reproducir este escenario1

Fecha: Descripcin: Nombre:

Configuracin de vlans

Objeti os de aprendi!aje Al completar esta prctica de laboratorio podr1 J Cablear una red seg)n el diagrama de topolog'a J Korrar la configuracin inicial y volver a cargar un s.itc- al estado predeterminado J Lealizar las tareas de configuracin bsicas en un s.itcJ Crear las V A! J Asignar puertos de s.itc- a una V A! J Agregar, mover y cambiar puertos J Verificar la configuracin de la V A! J 8abilitar el enlace troncal en cone(iones entre s.itc-es J Verificar la configuracin de enlace troncal J Euardar la configuracin de la V A! ?areas
"area #$ Preparar la red
Paso #$ %ablear una red de manera similar al dia&rama de topolo&'a(

Fecha: Descripcin: Nombre:

Configuracin de vlans

Paso )$ *orrar confi&uraciones existentes en los s+itc,es e iniciali!ar todos los puertos en estado desacti ado(

"area )$ -eali!ar las confi&uraciones bsicas del s+itc,

Paso #$ %onfi&urar los s+itc,es de acuerdo con la si&uiente &u'a( Paso )$ Vol er a ,abilitar los puertos de usuario en .) y ./(

"area /$ %onfi&urar y acti ar las interfaces Et,ernet

Paso #$ %onfi&urar las P%(

"area 0$ %onfi&urar las VLAN en el s+itc,

Paso #$ %rear las VLAN en el s+itc, .#( Paso )$ Verificar 1ue las VLAN est2n creadas en .#( Paso /$ %onfi&urar y asi&nar un nombre a las VLAN en los s+itc,es .) y ./( Paso 0$ Asi&nar puertos de s+itc, a las VLAN en .) y ./( Paso 3$ 4eterminar 1u2 puertos se ,an a&re&ado( Paso 5$ Asi&nar la VLAN de administracin( Paso 6$ %onfi&urar los enlaces troncales y la VLAN nati a para los puertos de enlace troncales en todos los s+itc,es( Paso 6$ Verificar 1ue los s+itc,es se puedan comunicar( Paso 7$ 8acer pin& a arios ,osts desde la P%)( Paso 9$ :bicar la P%# en la misma VLAN 1ue la P%)( Paso #;$ %ambiar la dreccin <P y la red en P%#(

"area 6$ 4ocumentar las confi&uraciones de los s+itc,es 3ara ms informacin sobre los pasos1
-ttp1MM....josesen.com.arMccnapresentacionesMe(plorationI /MlaboratoriosM4*.itc-ingN abN/NDN@.pdf